2019年10月6日星期日

澳洲国立大学遭大规模黑客入侵始末

来源: ABC中文 作者: Stephanie Borys 证据指向了一个嫌疑的(路透社)

著名学府国立大学(ANU)校园网络系统具有深远的国际影响。

只需一封电子,就很可能窃取到全世界身居高位的人相当私密的个人信息。

这种的黑客攻击活动相当微妙,甚至不需点击任何链接或打开任何文件就能窃取当事人几十年来的私人信息。

这封电子邮件在去年十一月发给了澳大利亚国立大学的一位高级工作人员。

和此人密切合作的另一位员工在删掉那封电子邮件之前预览了它的内容,然而为时甚晚。

仅一封被预览的邮件,就足以让黑客窃取用户名和密码,从而为其打开入侵国立大学网络系统的第一道大门。

这不是国立大学首次遭黑客攻击。早在2018年的一起网络攻击事件已经让这所大学的领导称之为一道“警钟”,但这道警钟最终未能保护国立大学免遭下一次攻击。

“这是一场极其高明的操作…… 他们在执行任务…… 这场攻击显然动用了精锐团队,”国立大学校长布莱恩·施密特(Brian Schmidt)在公布针对这场黑客攻击的调查报告时告诉ABC。

“这份调查报告显示我们本来可以做得更好。”

这场黑客攻击是如何发生的?

第一次鱼叉式网络钓鱼攻击 Spear phishing attack one
还记得上世纪90年代的尼日利亚王子骗局吗?鱼叉式网络钓鱼(Spear phishing)电子邮件是一种更有针对性的邮件,它看似是由真人发送的。发给国立大学高级员工的电子邮件中并没有提到什么王子,当另一位有权限查看该高级该员工电邮的同事预览了那封邮件后,它使得黑客能够复制这位高级员工的用户名、密码和日程表。

设立第一个攻击工作站 Creation of attack station one
黑客利用11月9日窃取的详细信息,控制了国立大学的网络中被称为“一号攻击工作站”的部分。为确保入侵过程无人察觉,那些黑客小心翼翼地删除了记录他们行动的日志文件,以掩盖他们的操作。他们还利用一套名为Tor的源代码程序,伪装其发起攻击的地理位置。

复制网络构架图 Network map copied
这些黑客想全面了解国立大学的计算机网络是如何运作的。试想一张很大的地图上显示着彼此相连的一切。利用国立大学的一台无需登录就可发送消息的旧电邮服务器,这些黑客将获得的详细信息通过电邮发送到外部电邮地址。

第二次鱼叉式网络钓鱼攻击活动 Second spear phishing campaign
这些黑客瞄准国立大学的10名员工,向他们发送了一封带附件的电子邀请函,请他们出席一项在学校举办的活动。黑客同时得到访问权限,获取了一份包含用户名、电子邮箱、电话号码和员工职务的名单,是他们了解这所学校员工的职务和职责。黑客借助这些信息来决定向谁发送下一封鱼叉式网络钓鱼邮件。

获取数据 Data taken
黑客挖到了他们所认为的“金子”,那就是国立大学的企业系统网域——它保存着这所大学的人力资源、财务与学生管理数据库,其中包含税号、学生成绩记录以及出生日期和地址等私人信息。调查无法确定有多少数据失窃,也不能确定黑客是否针对一些特定对象进行攻击。报告发现,黑客在侵入企业系统网域之前,看到了珍贵的研究数据,以及知识产权内容,但他们没有从中窃取任何信息。

第三次鱼叉式网络攻击活动 Third spear phishing campaign
数十封电邮发到了国立大学的电邮中,黑客获得了至少一名网络管理员的用户名和密码——这名管理员拥有开启这所大学计算机网络中其他大门的权限。

黑客被踢出系统 Hackers kicked out
就在黑客们清理他们的入侵痕迹时,国立大学的计算机系统启动了预先安排好的系统维护,黑客们被直接踢出系统。黑客打算再度入侵,多次试图回到系统。

黑客重回系统偷走数据 Hackers back in and data stolen
那些黑客发现了系统的另一个入口,国立大学还没有对这一入口采取足够的防御措施。看样子,他们有在系统中待一阵子的准备,他们从企业系统网域中获取了更多数据。

第四次鱼叉式网络钓鱼攻击活动 Fourth spear phishing campaign
黑客们迫切需要更多信息,并向40名国立大学员工发送了一封带附件的电邮。这些人拥有国立大学计算机网络多个部分的密钥。他们都是从事信息技术工作的员工,有人点击了附件,也有人意识到这是钓鱼电邮,于是删除了这些入侵邮件。

黑客再次被踢出门被踢出门 Hackers kicked out again
第二个入侵点被发现并移除。此后,黑客几次尝试通过不同入口进入网络,但没能删除更多的个人数据

黑客又来碰运气 Hackers try their luck again
黑客多次企图进入企业组织网域,但均被阻止。ANU宣布数据泄露后,调查人员认为,同一伙黑客试图再次进入大学的计算机网络。

这场入侵活动的幕后“键盘侠”

国立大学怀疑多达15名黑客参与了这场入侵活动。

他们的入侵技术精湛到让澳大利亚的顶级安全专家震惊。

“事实上,我们花了六个月才发现他们入侵过系统…… 当时我们很高兴的是我们竟然可以找到他们,”施密特教授说。

调查行动没有确定谁是发起攻击的幕后黑手,但施密特校长概述了谁有可能是元凶。

“有很多国家有能力做到,不是一两个国家而已,可以是几十个国家,”他说。

“有组织的犯罪团伙可能有能力做到,当然,所有这些犯罪团伙的技术将越来越强。”

国立大学拒绝指明哪个国家是幕后黑手。

但是,澳大利亚战略政策研究所(ASPI)的高级分析师汤姆·厄恩(Tom Uren)说,证据指向了一个嫌疑的国家。

“坦率地说,很有可能是中国。他们出于许多不同的原因对澳大利亚有强烈的兴趣,”他说。

“我们是五眼联盟的一部分,所以与军方和情报机构都有关系。堪培拉是机构的核心地区,国立大学有许多学生之后会在政府工作。

“此外,还有很多中国学生来澳大利亚留学。我听到的一个说法是,中国政府也许想监视中国留学生在澳大利亚的举动。”

这份报告已递交给一个关于澳大利亚大学受外国干涉的特别工作组。教育部长丹·特汉(Dan Tehan )于8月成立了这个工作组,目的是为大学提供更好的保护,防止外国干涉。

窃取个人信息

黑客们定期清理日志、磁盘和文件,他们几乎没有留下任何证据供调查人员查看。

他们没有攻击国立大学保护知识产权和研究信息的系统,而是将目标对准了保存现有人员和前工作人员以及学生个人详细信息的数据库。

黑客偷走了什么:

姓名
地址
电话号码
紧急联系方式
税号
工资信息
银行帐号信息
学生的学业记录

调查人员无法确认黑客们获取了哪些信息以及谁受到了影响,因为黑客们有能力抹去证据并对盗窃的文件进行加密。

该数据库保存了19年的数据,但调查人员认为黑客只获取了其中一小部分数据。

目前没有证据表明这些信息被犯罪分子用于伪造身份。

分析师汤姆·尤伦(Tom Uren)表示,中国一向有着为其感兴趣的人群建立并保留资料的名声。

“一个可能性是他们用来监视自己的学生,” 他说。

“另一种可能是,他们试图找到一批潜在人群,用于今后培养。”

第三种可能性是,他们只是在找当前在政府就职的人,并试图找到更多有关他们的信息。”

此次调查无法确认黑客的动机,但施密特教授指出了在ANU学习和工作的人群类型。

“大学是我们国家以及其他国家今后的摇篮,” 他说。

“那些想要侵入的人显然会对我们感兴趣,但至于动机,我还是不太清楚。”

敲响警钟

国立大学在一份报告中概述了此次长达六周黑客攻击的细节,施密特教授表示,这是澳大利亚公共机构第一次发布如此全面的网络攻击报告。

国立大学在这份报告中提供了他们认为的黑客入侵方式,但仍有很多问题没有提及,包括被窃文件的具体细节以及受害者的数量。

“2019年,世界正在转型,从现在开始,网络问题将真正成为人们日常生活的一部分,” 国立大学校长说。

“对于其他大学、机构和企业来说,能看到网络问题中的一个方面就很重要,因为他们将要自己面对这一切。”

国立大学正花费数百万澳元升级其计算机网络,以更好地应对今后的攻击。

然而,澳大利亚网络安全中心(Australian Cyber Security Centre)警告称,黑客热衷窃取信息,这一行业在不断增长,计算机网络永远不会是100%安全的。

该机构警告所有澳大利亚人,从个人到组织,要严肃看待这一威胁,并确保他们得到充分保护。

尤伦先生很高兴ANU披露了此次黑客攻击的细节,并希望此事能促进其他机构披露他们所受到的黑客攻击的细节。

“每一架飞机失事都要调查出事故的原因,” 他说。

“这次的报告与飞机失事的调查相提并论,人们可以从这份报告中学习,进行比照,并采取措施提高自己的网络安全。”



via 澳洲国立大学遭大规模黑客入侵始末

没有评论:

发表评论